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1 EP 0 352 

Beschreibung 

Die Erfindung bezieht sich auf ein Steuersystem 
nach dem Oberbegriff des Patentanspruchs 1 sowie auf 
ein Vertahren zum Durchfuhren einer Notfallmaf3nahme 5 
unter Verwendung eines derartigen Steuersystems. 

Bei den im folgenden behandelten Stelleinrichtun- 
gen kann as sich um eine Hinterachs-Lenkung zusatz- 
lich zu der ubiichen Vorderachs-Lenkung, eine Vorder- 
achs-Uberlagerungslenkung zusatzlich zu der Qblichen io 
Vorderachs-Lenkung. eine aktive Wankstabilisterung, 
eine aktive Federung Oder aber auch um ein sog. elek- 
tronisches Gaspedal handeln. Sanntlichen Stelleinrich- 
tungen genneinsann ist. da3 eine nnechanische Grund- 
funktion vorhanden ist, die inn Falle der Hinlerachs-Len- is 
kung die Nullstellung der Hinterrader bei der Uberlage- 
rungslenkung die ubiiche Vorderachs-Lenkung, bei 
Wankstabilisierung und aktiver Federung die ubiiche 
nnechanische Federung und beim elektronischen Gas- 
pedal die Ausgangslage eines Brennkraftmaschi- 20 
nen-Leistungssteuer-bzw. Regelorgans darstellt. Die 
NotfallmaBnahme kann je nach Anwendungsfall 
und/oder Schwere des Fehlers unterschiedlich sein. Im 
einfachsten Fait kann sie darrn bestehen, das Stellglied 
fur die Zusatzfunktion unwirksam zu schalten oder in der 25 
Stellung festzuhalten, die dem Fehler unmittelbar voran- 
geht. Das Stellglied kann auch, soweit moglich, gesteu- 
ert in eine definierte, unkritische Ruhelage uberf uhrt war- 
den. Der Fehler seinerseits kann in einer der Funktions- 
ketten oder aber auch im Stellglied selbst liegen. 30 

Auf dem Gebiet der Technik sind unterschiedliche 
Losungen fur das Erkennen eines Notfalls und das Aus- 
losen einer NotfallmaBnahme bekannt. Insbesondere im 
-Flugzeugbau gibt es hierzu die sog. zwei aus drei Red- 
undanz. Das bedeutet, daB drei voneinander unabhan- 35 
gige Funktionszweige aufgebaut sind und in Fehler ei- 
nes Funktionszweigs durch die fehlerfreie Funktion der 
beiden anderen Funktionszweige erkannt und der feh- 
lerbehaftete Funktionszweig auf diese Weise^elim'iniert 
wird. Derartige Einrichtungen sind bei Kraftfahrzeugen 40 
aus Kosten- und Einbauplatzgrunden nicht anwendbar. 

Bei spurgebundenen Bussystemen sind zwei paral- 
lele Funktionszweige bekannt, von denen jeder fur sich 
die gewunschte Stellfunktion ausfuhrt. Bei einem Fehler 
eines Funktionszweigs wird dieser abgeschaltet und le- 4S 
diglich der andere Funktionszweig weiterbetrieben. Eine 
derartige Einrichtung stellt keinen Gewinn an Systemsi- 
cherheit dar, da im Fehlerfalle lediglich ein einziger Funk- 
tionszweig zur Verfugung steht, der dann vollig "unge- 
schutzt" arbeitet. Ein Fehler des noch verbleibenden so 
Funktionszweigs kann dann nicht mehr erkannt und be- 
seitigt werden. Fur den Anwendungsfall bei Kraftfahr- 
zeugen kommt erschwerend hinzu, daB eine vollstandi- 
ge Verdoppelung der Funktionszweige auch eine Ver- 
doppelung des Stellgliedes fur die Zusatzfunktion be- ss 
deutet. Im Fehlerfalle kann nun das Stellglied des feh- 
lerhaften Funktionszweiges die Funktion des anderen 
Stellgliedes blockieren. Auch dieser Umstand laBt ein 
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derartiges Sicherheitskonzept bei Kraftfahrzeugen nicht 
anwendbar erscheinen. 

Aus der DE-A 32 34 637 und der EP 0 115 994 A1 
sind zwei prinzipiell gleichartig aufgebaute Steuersyste- 
me bekannt, bei denen zwei parallel angeordnete und 
redundant aufgebaute Funktionsketten mit jeweils ei- 
nem Rechner auf ein gemeinsames Stellglied arbeiten. 
Im Fehlerfall steuern der bzw. die Rechner das Stellglied 
im Sinne einer NotfallmaBnahme an. Tritt ein Fehler im 
Stellglied auf. z.B. eine Blockierung, so ist es nicht mog- 
lich, eine evtl. fehlerhafte Arbeitsweise des Stellglieds zu 
korrigieren. Ein derartiges Steuersystem ist fur den Ein- 
satz fur eine Zusatzfunktion nicht geeignet, da es nicht 
in jedem Fall gewahrleistet ist, eine fehlerhafte Arbeits- 
weise des Stellglieds zu unterbinden. 

Der Erfindung liegt die Aufgabe zugrunde, ein elek- 
trontsches Steuersystem der eingangs genannten Art zu 
schaffen, das mit geringem Aufwand ein HochstmaB an 
Funktionssicherheit bietet und das gerade im Fehlerfalle 
sicher fur die Durchfuhrung der NotfallmaBnahme sorgt. 
Weiter geht es bei der Erfindung darum, ein Verfahren 
zu schaffen, das unter Verwendung eines derartigen 
Steuersystems im Fehlerfalle die NotfallmaBnahme mit 
moglichst sicherheitsgunstiger Wirkung einleitet. 

Die Erfindung lost diese Aufgabe fur das Steuersy- 
-stem durch die Mittel, die im Kennzeichen des Patent- 
anspruchs 1 angegeben sind, fur das Verfahren durch 
die Merkmale, die im kennzeichnenden Teil des Patent- 
anspruchs 6 angegeben sind. 

Fur das Steuersystem ist unter der Voraussetzung 
der mechanischen Grundfunktion das Sicherheitskon- 
zept gepragt durch die Uberwachung gleich wirkender 
Elemente der Funktionsketten sowie das Auslosen der 
NotfallmaBnahme, wenn bei diesem Vergleich ein Fehler 
eines der beiden Elemente festgestellt wird. Bei diesen 
Elementen handelt es sich um einen oder mehrere Sen- 
sor(en) fur die EingangsgroBen des Rechners, den 
Rechner selbst^ sowie eine Notfalleinrichtung. Ferner 
konnen eine ggf. nachgeschaltete, hier nicht weiter be- 
handelte Aufbereitungs- oder Umwandlungseinheit fur 
die Sensorsignale sowie dem Rechner nachgeschaltete 
Verstarker oder dgl. vorgesehen sein. Jede Notfallein- 
richtung soil fur sich in der Lage sein, eine ausreichende 
NotfallmaBnahme durchzufuhren. Im Falle der vorhin 
bereits genannten Hinterachs-Lenkung kann eine Not- 
fallmaBnahme bei einem relativ geringen Fehler darin 
bestehen, die ausgelenkten Hinterrader in die Null-Lage 
gezielt und mit endlicher Geschwindigkeit zuruckzufuh- 
ren. Bei einem schweren Fehler, beispielsweise eines 
der Rechner oder aber des Stellglieds kann es erforder- 
lich sein, die Hinterrader in der Stellung zu halten, die 
zuletzt, d.h. unmittelbar vor Auftreten des Fehlers, ein- 
gestellt ist. Samtlichen NotfallmaBnahmen gemeinsam 
ist, daB sie entweder den gerade bestehenden Funkti- 
onszustand beibehalten oder in einer Richtung veran- 
dern, die die Sicherheit erhoht. Fur den Fall der Hinter- 
achs-Lenkung bedeutet dies. daB die Hinterrader im 
Notfall in der vorliegenden Stellung, d.h. auch im ausge- 
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lenkten Zustand, gehalten werden bzw. in die Mittelstel- 
lung zuruckgefuhrt, d.h. die Auslenkung beseitigt wird. 

Im Falle des elektronischen Gaspedals wird das Lei- 
stungsstellorgan der Brennkraftmaschine festgehalten 
Oder aber in die Null-Lage zuruckgefuhrt. Diese Nullage 
ist bei dem Leistungsstellorgan durch den Leerlaufan- 
schlag und bei der Hinterachs-Lenkung durch den Ge- 
radeauslauf der Hinterrader bestimmt und kann auch 
durch Oder im Rahmen der mechanischen Grundfunkti- 
on erreicht werden. Hierzu konnen beispielsweise einfa- 
che Federelemente vorgesehen sein, die fur das Einstel- 
len der Grundfunktion sorgen und gegen deren Wirkung 
das Stellglied fur die Zusatzfunktion arbeitet. Im Fehler- 
fall kann als notfallmaBnahme vorgesehen sein, das 
Stellglied aufBer Eingriff zu bringen und mit Hilfe der me- 
chanischen Federelemente die Einstellung der mecha- 
nischen Grundfunktion, hier der Null-Lage des verstell- 
ten Teiles vorzunehmen. 

Die Uberwachung der einzelnen Elemente der 
Funktionsstufen kann im Falle der die EingangsgrdBen 
liefernden Sensoren mit geringem Aufwand mit Hilfe des 
nachgeschalteten Rechners erfolgen. Hierzu werden die 
Ausgangssignale der Sensoren jedem der Rechner zu- 
gefuhrt. Diese uberprufen diese Ausgangssignale auf 
funktionate Gleichheit und sind in der Lage, eine funktio- 
nale Abweichung der Ausgangssignale festzustellen. In 
diesem Falle ist auch die Mdglichkeit gegeben, den feh- 
lerhaften Sensor zu identifizieren und eine relativ scho- 
nende NotfallmafBnahme auszulosen. indem das Stell- 
glied mit endlicher Geschwindigkeit in den unwirksamen 
Zustand gebracht wird. 

Die nachste Funktionsstufe, in Form der Rechner 
kann zweckmaRtgerweise mit Hilfe einer Kommunikati- 
onseinrichtung uberwacht werden. Eine derartige Ein- 
richtung kann im einfachsten Fall als Datenleitung oder 
mit Vortei! als Dual -Port- RAM ausgebildet sein. Jeder 
Rechner besitzt dort einen Speicherbereich, in welchem 
er selbst schreiben und lesen kann und in dem der an- 
dere Rechner jeweils nur lesen kann. 

Ein weiteres Ziel der Erfindung ist, das Ausldsen ei- 
ner NotfallmaBnahme auch dann sicherzustellen, wenn 
nicht nurein Fehler sondern wenn ein sog. Doppelfehler 
d.h. zwei Fehler auftreten. Dabei sollen diese Fehler 
gleichzeitig, d.h. innerhalb eines Zeittaktes an beliebigen 
Stellen des Steuersystems auftreten konnen. Durch die 
stufenweise Prufung der Funktionskette auf gleiche 
Funktion ist das Auftreten zweier Fehler auf unterschied- 
lichen Stufen relativ unkritisch, da bereits durch den Feh- 
ler auf der im Signalablauf fruheren Stufe die 
NotfallmaBnahme ausgelost wird. 

Kritisch ist jedoch der Fall, bei dem in einer Funkti- 
onsstufe und insbesondere bei zwei unmittelbar funktio- 
nal korrespondierenden Elementen ein Fehler auftritt. Es 
ist theoretisch moglich, daB diese Fehler gleich geartet 
bzw. gleich gerichtet sind und damit von einer Uberwa- 
chungseinrlchtung nicht erkannt werden konnen. Die- 
sem Problem wird dadurch abgehoifen, daB die gleich- 
wirkenden Elemente der beiden Funktionsketten sich 



hinsichtlich ihrer Arbeitsweise und/oder Qualitat 
und/oder Quantitat ihrer Ein- oder Ausgangssignale un- 
terscheiden. 

Konkret bedeutet dies, daB im Falle der Rechner 

5 diese von unterschiedlichen Herstellern stammen 
und/oder nach unterschiedlichen Algorithmen und/oder 
auf unterschiedliche Weise (z.B. als 8-Bit bzw. 
16-Bit-Prozessoren), arbeiten. 

Gleichwertige Sensoren konnen sich in inren Aus- 

10 gangssignalen unterscheiden. Sind beispielsweise zwei 
Sensoren, d.h. pro Funktionsstufe ein Sensor, fur einen 
Drehwinkel, z.B. des Lenkrads, vorgesehen, so kann die 
Arbeitsweise der beiden Sensoren sich hinsichtlich ihrer 
Impuls-Quantitat oder ihrer Ausgangssignalqualitat un- 

75 terscheiden. Letzteres wird beispielsweise dadurch er- 
reicht, daB einer der beiden Sensoren ein digitales, der 
andere ein analoges Ausgangssignal liefert. 

Fernersind hierzu nennen Ausgangssignale mit un- 
terschiedlicher Polaritat oder unterschiedlichem Gradi- 

20 enten, unterschiedliches Ansprechverhalten, unter- 
schiedliche mechanische Ubersetzung, verschiedene 
MeBprinzipien, usw.. 

Auf diese Weise wird es moglich, durch mikroskopi- 
sche Vielfalt bei makroskopisch gleicher Funktion ein 

25 HochstmaB an Sicherheit zu erzielen und den obenge- 
nannten Fall einer gleichgerichteten Funktionsstorung 
zweier funktional gleichartiger Elemente einer korre- 
spondierenden Funktionsstufe mit an Sicherheit gren- 
zender Wahrscheinlichkeit zu vermeiden. 

30 Die Erfindung ist anhand der Zeichnung welter er- 

lautert. Diese zeigt in 

Fig. 1 den prinzipiellen Aufbau eines erfindungsge- 
maBen Steuersystems und in 

35 

Fig. 2 als Beispiel schematisch den funktionellen 
Aufbau einer Hinterachs-Lenkung eines Kraft- 
fahrzeugs. 

^0 Der in Fig. 1 gezeigte prinzipielle Aufbau eines erfin- 
dungsgemaBen Steuersystems fur Stelleinrichtungen 
eines Kraftfahrzeugs besteht im wesentlichen aus zwei 
parallelen Funktionsketten, die mit 1. Funktionskette und 
2. Funktionskette bezeichnet sind. Jede der Ketten be- 

^5 steht aus funf Funktionsstufen. die die Bezeichnung 
Funktionsstufe. 1 bis Funktionsstufe.5 tragen. Jede die- 
ser Funktionsstufen korrespondiert mit einer entspre- 
chenden Funktionsstufe der anderen Funktionskette 
und enthalt ein oder mehrere Elemente. Dies sind fur 

50 

die Funktionsstufe. 1 Sensoren Sensor. 1 bis Sen- 
sor.n bzw. Sensor. 1 * bis Sensor.n* fur physikalische 
Parameter oder dgl., 

55 fur die Funktionsstufe. 2 den Sensoren nachge- 
schaltete Signalaufbereitungen, die mit Sensorauf- 
ber.1 bis Sensoraufber.n bzw. Sensoraufber.l* bis 
Sensoraufbem' bezeichnet sind, 



Fig. 1 
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Fig. 2 
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die Funktionsstufe 3 einen Rechner.1 bzw. Rech- 
ner. 1 * 

die Funktionsstufe 4 einen Leistungsverstarker. 1 
bzw. 1 * sowie 5 

die Funktionsstufe 5 eine Passivierungseinrichtung. 
1 bzw. 1 \ 

Dabei bezeichnet die Kennzeichnung "*" ein wir- io 
kungsgleiches redundantes Element. 

Ferner steuert der Rechner 1 uber einen "Leistungs- 
verstarker" ein Stellglied. Die Stellung des Steliglieds 
wird mit Hilfe der Sensoren Sensor.1 bzw. Sensor. T als 
Sensorsignal in der Funktionsstufe 1 verarbeitet. 15 

Der funktionale Aufbau ergibt sich in seinen weite- 
ren wesentlichen Grundzugen aus der Form der Verbin- 
dungs- bzw. Wirklinien. Furaktive Zustande, bei denen 
bei fehlerfreiem Betrieb ein Signal weitergegeben wird, 
sinddiese Verbindungen durchgezogen. Die fur den Not- 20 
fallbetrieb maBgeblichen Verbindungen sind strichliert. 
Damit ergibt sich, daf3 der Rechner.1 neben dem Lei- 
stungsverstarker und dem Stellglied auch auf den Lei- 
stungsverstarker. 1 und daruber auf die Passivierungs- 
einrichtung. 1 , nicht jedoch auf den Leistungsverstar- 25 
ker.1* und die Passivierunqseinrichtung.r im Sinne ei- 
ner aktiven Signalweitergabe wirkt. 

Im Notfall jedoch wirkt der Rechner 1 sowohl auf den 
Leistungsverstarker und das Stellglied im Sinne des 
Durchfuhrens einer NotfallmaBnahme und zusatzlich 30 
parallel auf den Leistungsverstarker. 1 und die Passivie- 
rungseinrichtung. 1 sowie den Leistungsverstarker. 1 * 
und die Passivierungseinhchtung. 1 *. Der Rechner 1 ist 
wie der Rechner 1 * in der Lage, beide Passivierungsein- 
richtungen zu aktivieren und damit gleichzeitig zwei je- 35 
weils fur sich bereits ausreichenden Notfallma3nahmen 
mit Hilfe der beiden Passivierungseinrichtungen.1 und 
1*durchzufuhren. 

Der Rechner 1* ist riichfin de> Lage, den Leistungs- 
verstarker und das Stellglied zu bedienen. Damit aber 40 
wird die 2. Funktionskette vollstandig als Uberwachungs- 
einnchtungfurdie I.Funktionskette tatig; nurdie 1 .Funk- 
tionskette besitzt allein die zusatzliche Eigenschaft, den 
Leistungsverstarker und das Stellglied zu aktivieren. 

Die prinzipiellen Komponenten des Steuersystems 45 
sind in Fig. 2 konkretisiert und in der zugehorigen Be- 
schreibung in Klammern angegeben. 

Das in Fig. 2 in der Draufsicht gezeigte Kraftfahr- 
zeug 1 besitzt eine Stelleinrichtung mit einem Stellglied 

2 (Stellglied) fur eine Hinterachse mit den Hinterradern so 

3 und 4. Mit Hilfe des Steliglieds 2 wird der Lenkwinkel 
der Hinterrader 3 und 4, ausgehend von der aufgrund 
der Achskinematik eingestellten Grundfunktion des Ge- 
radeauslaufs entsprechend dem Lenkwinkel der Vorder- 
rader 5 und 6 verstellt. Der Zusammenhang zwischen 55 
den Lenkwinkein der Vorderrader 5 und 6 und den Hin- 
terradern 3 und 4 kann entsprechend dem fahrdyna- 
misch gunstigen Algorithmus gewahit sein und sol! nicht 



Gegenstand der folgenden Beschreibung sein. 

Weiter finden sich Sensoren fur die Fahrzeugge- 
schwindigkeit in Form eines ABS-Raddrehzahlimpuls- 
gebers 7 (Sensor 2) am Vorderrad 6 bzw. eines Tacho- 
impulsgebers 8 (Sensor 2*) an der Hinterachse sowie 
Lenkwinkelgeber fur die Vorderachse in Form eines 
Lenkwinkelgebers 9 (Sensor 3) am Lenkgetriebeaus- 
gang und eines Lenkwinkelgebers 10 (Sensor 3*) am 
Lenkgetriebeeingang. 

Den Sensoren 7 bis 10 nachgeschaltet ist ein Steu- 
ergerat 11, das aus nicht dargestellten Sensoraufberei- 
tungen, zwei Rechnern 12 und 13 (Rechner 1 /Rech- 
ner 1*), einer Kommunikationseinrichtung 14 sowie drei 
Endstufen 15 bis 17 (Leistungsverstarker/Leistungsver- 
starken/Leistungsverstarker 1*) besteht. Das Steuer- 
gerat 1 1 steuert das im rechten unteren Teil der Figur im 
Detail dargestellte Stellglied 2. Dieses enthait im wesent- 
lichen ein hydraulisches Proportionalventil 18, diesem 
nachgeschaltete Ruckschlagventife 19 und 20 sowie ei- 
nen Stellkolben 21 , der ausgehend von der dargestellten 
Mittellage den Lenkwinkel der Hinterrader 3 und 4 uber 
seine Kolbenstange 22 verstellt (nicht im einzelnen dar- 
gestellt). 

An der Kolbenstange 22 sind zwei Sensoren 24 und 
25 (sensorl/Sensorl *) fur die Uberwachung der Stellung 
des Kolbens 21 und damit des Lenkwinkels der Hinter- 
rader 3 und 4 angeordnet, die mit dem Steuergerat 11 
verbunden sind. An der Kolbenstange 22 ist ferner eine 
mechanische Klemmeinrichtung 26 (Passivierungsein- 
richtung. 1) angeordnet. die im Bedarfsfall die Kolben- 
stange 22 fixiert und damit den Lenkwinkel der Hinterra- 
der 3 und 4 festhalt. Die Klemmeinrichtung 26 ist durch 
ein Ventil 27 angesteuert. Ferner ist mit Hilfe der Ruck- 
schlagventile 19 und 20 eine hydraulische Klemmein- 
richtung (Passivierungseinrichtung. T) realisiert. Im Be- 
darfsfall schlieBen beide Ventile nachgeschaltete Ar- 
beitsraume fur den Stellkolben 21 und fixieren diesen in 
seiner SteJIung. 

Die Ausgangssignale der beiden Fahrzeug-Ge- 
schwindigkeitssensoren 7 und 8, der beiden Lenkwinkel- 
geber 9 und 10 und der beiden UbenA/achungs-Senso- 
ren 24 und 25 sind jeweils zugleich den Rechnern 12 
und 1 3 zugef uhrt. Jeder der Rechner steuert beide, den 
Notfalleinrichtungen zugeordneten Endstufen 16,17 an, 
wenn es darum geht, eine NotfallmaBnahme einzuleiten. 
Der Rechner 12 steuert zusatzlich die Endstufe 15 des 
Proportionalventils. Dabei wirkt die Endstufe 15 auf das 
Proportionalventil 18 und fuhrt dieses in die Mittellage 
zurOck, in der das Proportionalventil 18 unwirksam ist 
und lediglich den uber die Eingangsleitung P anstehen- 
den Druck aus einer nicht dargestellten Hydraulik-Ver- 
sorgungseinrichtung von dem Stellglied fernhalt. Die 
Endstufe 16 wirkt auf die Ruckschlagventile 19 und 20 
und halt diese nicht mehr geoffnet. SchlieBlich steuert 
die Endstufe 17 in diesem Fall ein Ventil 27, das der 
Klemmeinrichtung 26 vorgeschaltet ist, in dem Sinne, in 
dem die Klemmeinrichtung 26 wirksam wird. 

Im Gegensatz dazu wirkt der Rechner 12 nur auf 
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zwei Endstufen 15 und 16 und der Rechner 13 nur auf 
die Endstufe 17 ein, wenn es darum geht, das Stellglied 
zu aktivieren. Fur diesen normalen Betriebsfall werden 
durch die Endstufe 1 5 das Proportionalventil 1 8 aktiviert, 
durch die Endstufe 16 die Rucksclnlagventile 19 und 20 
in den offenen Zustand gebracht und durcli die Endstufe 
17 das Ventil 27 geoffnet und damit die Klennnneinrich- 
tung 26 unwirksann gemacht. 

Die Sensoren 7,9 und 24 bilden fur sich eine Funk- 
tionsstufe, die Sensoren 8, 1 0 und 25 die hierzu parallele 
Funktionsstufe, der Reclnner 12 die nachste und der 
Rechner 1 3 die hierzu parallele Funktionsstufe, die End- 
stufen 1 6 und 1 7 die jeweils nachste Funktionsstufe und 
die Klennnneinrichtung 26 bzw. die Ruckschlagventile 19 
und 20 die jeweiJs letzte Funktionsstufe. Daraus ergibt 
sich, da3 jedes funktionale Element der Funktionsstufen 
redundant vorgesehen ist. 

Die funktional gleichwerligen Elemente einer Funk- 
tionsstufe werden jeweils fur sich uberpruft. Fur die Sen- 
soren 7 und 8 sowie die Sensoren 9 und 10 geschieht 
dies mit Hilfe des Rechners 12 und unabhangig davon 
auch mit Hilfe des Rechners 1 3. Etwaige Fehler in einem 
der Sensoren werden auf diese Weise erkannt und fuh- 
ren dazu, da3 ein welter unten eriautertes Notfalisignal 
ausgewirkt wird. Die Rechner 12 und 13 ihrerseits uber- 
wachen sich gegenseitig mit Hilfe einer Kommunikati- 
onseinrichtung 14, die als Dual-Port-RAM ausgebildet 
sein kann. Die Wirkungsweise einer derartigen Einrich- 
tung, die jeweils einen Speicherbereich hat, in dem einer 
der beiden Rechner diesen umschreiben und nur der an- 
dere lesen kann (gilt fur beide Rechner) besteht insbe- 
sondere darin, da3 die Rechenablaufe innerhalb der bei- 
den Rechnern 1 2 und 1 3 gegenseitig uberwacht werden 
konnen und fehlerhafte Asynchronitaten erkannt wer- 
den. Auch im Fall, daf3 die beiden Rechner zu wider- 
spruchlichen Ergebnissen kommen, und eine asynchro- 
ne Arbeitsweise der beiden Rechner dabei nicht stort, 
wird eine NotfallmaBnahme ausgelost. 

Ein Fehler einer der Endstufen 15 bis 17 wird mit 
Hilfe der Uberwachungs-Sensoren 24 und 25 uberwacht 
und fuhrt ebenfalls zum Auslosen eines Notfallsignals. 
Entsprechendes gilt bei Ausfall eines der beiden Uber- 
wachungs-Sensoren 24 oder 25. 

SchlieBlich ist auch dafur gesorgt, daB beim Total- 
ausfall der Elektrik oder der Hydraulik das Notfalisignal 
ausgelost wird bzw. eine NotfallmaBnahme ergriffen 
wird. Im Falle der Elektrik schlieBen die als Elektroma- 
gnetventile ausgebildeten Ventile 27, 1 9 und 20 unter der 
Wirkung von Federn und fuhren dazu, daB einerseits die 
Wirkung der Hydraulik auf den Stellkolben 21 aufgeho- 
ben wird und andererseits selbsttatig mit Hilfe des dann 
in den unteren der beiden gezeichneten Zustande ge- 
henden Ventils 27, bei dem die Klemmeinrichtung 26 
wirksam wird und die Kolbenstange festhalt. 

Entsprechend wird bei einem Totalausfall der Hy- 
draulik, bei dem die Eingangsleitung P drucklos wird, die 
Klemmeinrichtung 26 selbsttatig in den Wirkzustand 
ubergehen, bei dem sie die Kolbenstange 22 arretiert. 



Dies wird durch die Arbeitsweise der Klemmeinrichtung 
26 erreicht, die nur bei Vorhandensein eines von Null 
verschiedenen Drucks in der Leitung P und bei in der 
oberen Stellung befindlichen Schaltventil 27 die Kolben- 
5 stange 22 freigibt. 

Auf diese Weise ist es moglich, einen einfachen 
Fehler, d.h. den Fehler in einem der vorhandenen Ele- 
mente zu erkennen und eine entsprechende 
NotfallmaBnahme auszulosen. Entsprechend der Art 
JO des erkannten Fehlers kann diese NotfallmaBnahme in 
einem sofortigen Einstellen der Klemmeinrichtung 26 in 
den Wirkzustand erfolgen (wie z.B. im Falle des Total- 
ausfalls der Elektrik), sie kann aber auch in einem ge- 
steuerten Ubergang in den Ruhezustand bestehen, bei 

^5 dem der Stellkolben 21 seine Mittellage einnimmt und 
damit der Lenkwinkel der Hinterrader 3 und 4 gleich Null 
ist. Dies kann durch entsprechende Steuerung mit Hilfe 
des Proportionalventils 18 erreicht werden. 

Von besonderer Bedeutung ist die Eigenschaft, 

20 auch einen wirksamen Schutz vor Doppelfehlern zu er- 
zielen. Betrachtet man zunachst zwei Fehler, die in un- 
terschiedlichen Funktionsstufen liegen, so ergibt sich 
bereits aufgrund des hinsichtlich des Signalflusses er- 
sten Fehlers ein Auslosen der NotfallmaBnahme. Das 

25 Auftreten des im SignalfluB zweiten Fehlers hat dann 
keinen EinfluB mehr. 

Kritisch ist der Fall, bei dem zwei gleichwirkende 
Elemente in zwei parallelen Funktionsstufen ausfallen. 
Ein derartiger, an sich ohnehin relativ unwahrscheinli- 

30 Cher Zustand, wird bei der Erfindung dadurch abgefan- 
gen, daB gleich wirkende bzw. gleichwertige Elemente 
einer Funktionsstufe nicht den identischen Aufbau besit- 
zen. Dies zeigt sich beispielsweise in Form des Fahr- 
zeug-Geschwindigkeits-Sensors, in dem die Sensoren 

3S 7 und 8 zwar eine Aussage uber die Fahrzeuggeschwin- 
digkeit ermoglichen, jedoch auf ein anderes Tell (Vorder- 
rad 6 bzw. Hinterachsgetriebe zugreifen). Hinzu kommt, 
daB die Sensoren 7 und 8, bezogen auf dieselbe Fahr- 
zeuggeschwindigkeit, eine unterschiedliche Impulszahl 

■^0 im Normalfall liefern. Jede Abweichung von dieser Vor- 
gabe kann mit Hilfe der Rechner 1 2 und 1 3 ohne weite- 
res erkannt werden. 

Dasselbe gilt fur den Sensor des Lenkwinkelgebers 
in Form der Sensoren 9 und 10. Auch diese sitzen an 

•^5 unterschiedlichen Stellen und liefern, bezogen auf den 
Lenkwinkel, ein quantitativ unterschiedliches Ausgangs- 
signal. 

Ein weiterer kritischer Fehlerzustand ist der Ausfall 
des Proportionalventils 18 oder der zugeordneten End- 

50 stufe 15, denn dieser Fehler kann zu einem schneilen 
Auswandern der Kolbenstange 22 fuhren. Stellt einer 
Oder beide Rechner 12 oder 13 mit Hilfe der Oberwa- 
chungs-Sensoren 24 und/oder 25 fest, daB die Stellung 
der Kolbenstange unzulassig weit von der gewunschten 

55 Position abweicht, wird diese unerwunschte Bewegung 
mit Hilfe der Passivierungseinrichtungen verhindert. 

Da es prinzipiell moglich ist, daB der zweite Fehler 
fur die Doppelfehlerbetrachtung die Passivierungsein- 
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richtungen betrifft, sind diese doppelt ausgelegt, unn 
auch in diesem Fall das System sicher in den passiven 
Zustand uberfOhren zu konnen. 

Beispielsweise kann trotz eines Ausfalls von einem 
Oder beiden Ruckschlagventilen 1 9 und/oder 20 Oder der 
zugeordneten Endstufe 16 mit Hilfe der Klemmeinrich- 
tung 26 das System in den sicheren Zustand (d.h. pas- 
sive Grundfunktion) uberfuhrt werden. 

In ahnlicher Weise ist es beim Ausfall der Klemm- 
einrichtung 26 oder der zugeordneten Endstufe 17 als 
zweitem Fehler moglich, das System mit Hilfe der Ruck- 
schlagventile 19 und 20 ebenfalls in den sicheren Zu- 
stand zu bringen. 

Ein moglicher gleichgerichteter Ausfall der beiden 
Passivierungseinrichtungen wird durch die konstruktiv 
unterschledliche Ausfuhrungen der beiden Passivie- 
rungseinichtungen (Ruckschlagventile bzw. mechani- 
sche Klemmvorrichtung) mit an Sicherheit grenzender 
Wahrscheinlichkeit vermieden. 

Fallen beide Uberwachungs-Sensoren 24 und 25 
gleichzeitig aus bzw. zeigen beide gleichzeitig ein Fehl- 
verhalten, so laBt sich ein kritischer Fall ebenfalls ver- 
meiden. Dies wird erreicht durch unterschiedliche Be- 
triebsweise bzw. unterschiedlichen Aufbau der beiden 
Sensoren 24 und 25. Beispielsweise konnen die Senso- 
ren jeweils ein analoges bzw. digitales Ausgangssignal 
liefern oder sich in ihrer Polaritat oder Kennllnienstei- 
gung unterscheiden. Ein Fehler beider Sensoren kann 
sich somit nie gleichgerichtet auswirken und kann damit 
mit Hilfe der Rechner 12 und 13 eindeutig erkannt wer- 
den. 

Als moglicher worst-case verbleibt somit der FalL 
bei dem die Hydraulik und die Elektrik vollkommen aus- 
fallen. Auch dann ist durch die Arbeitsweise der Klemm- 
einrichtung 26 und der Ruckschlagventile 19 und 20 - 
gegen eine mechanische Feder - dafur gesorgt, da(3 
dann die Klemmeinrichtung 26 anspricht (entspricht dem 
vorhin genannten Fall des Totalausfalls der Hydraulik al- 
lein) und der Stellkolben 21 fixiert wird. 

Auf diese Weise ist auch eine Sicherheit vor Dop- 
pelfehlern erreicht. Damit aber ist auch bei sicherheits- 
kritischen Funktionseinheiten, wie beispielsweise einer 
lenkbaren Hinterachse, einer Uberlagerungslenkung fur 
die Vorderachse usw. ein HochstmaB an Sicherheit ge- 
wahrleistet. 



Patentanspruche 

1 . Steuersystem f Or Stelleinrichtungen eines Kraftfahr- 
zeugs, die zusatzlich zu einer mechanischen Grund- 
funktion eine mit elektronischen Mittein erzielbare 
Zusatzfunktion durchfuhren, mit mindestens einem 
Sensor (Sensor 1 -n) fur eine EingangsgroBe, einem 
Rechner (1,1*) zum Umsetzen der EingangsgroBe 
in eine AusgangsgroBe fur ein der Zusatzfunktion 
zugeordnetes Stellglied (2) und mit einer Notfallein- 
richtung fur eine NotfallmaBnahme bei Auftreten 



eines Fehlers, dadurch gekennzeichnet, daB eine 
aus den Funktionsstufen Sensor (en), Rechner und 
einer dem Stellglied (21, Fig. 2) zugeordneten Not- 
falleinrichtung bestehende Funktionskette im 
Gegensatz zum nur einfach vorhandenen Stellglied 
redundant ausgebildet ist, daB die gleichwirkenden 
Elemente der Funktionsketten auf gleiche Funktion 
uberwacht sind, daB die Notfalleinrichtung (Klemm- 
einrichtung 26, Ruckschlagventile 19 und 20) 
ansteuerbar ist, wenn an sich gleichwirkende Ele- 
mente der Funktionsketten eine Abweichung um ein 
vorgegebenes MaB aufweisen und daB die Notfall- 
einrichtung (Klemmeinrichtung 26, Ruckschlagven- 
tile 19 und 20) dem Stellglied (21) nachgeschaltet 
ist, wobei der Rechner (12,13) die Notfalleinrichtung 
bei Ausfall des Stellglieds ansteuert. 

2. Steuersystem nach Anspruch 1 , 

dadurch gekennzeichnet, daB die Ausgangssignale 
der die EingangsgroBen liefernden Sensoren bei- 
den Rechnern zugleich zugefuhrt sind. 

3. Steuersystem nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, 

daB die Arbeitsweise der Rechner mittels einer 
Kommuntkationseinrichtung uberwacht ist. 

4. Steuersystem nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet, daB in den Funktionsket- 
ten weitere Funktionsstufen vorgesehen sind, die 
mit Funktionsstufen der jeweils anderen Funktions- 
kette wirkungsmaBig korrespondieren. 

5. Steuersystem nach einem der Anspruche 1 bis 4, 
dadurch gekennzeichnet, daB die gleichwirkenden 
Elemente der beiden Funktionsketten sich hinsicht- 
lich ihrer Arbeitsweise und/oder Qualitat und/oder 
Quantitat ihrer Ein- oder Ausgangssignale unter- 
scheiden. 



40 

6. Verfahren zum Durchfuhren einer NotfallmaBnahme 
unter Verwendung eines Steuersystems fur Stellein- 
richtungen eines Kraftfahrzeugs, die zusatzlich zu 
einer mechanischen Grundfunktion eine mit elektro- 

■^5 nischen Mittein erzielbare Zusatzfunktion durchfuh- 
ren, mit mindestens einem Sensor (Sensor 1-n) fur 
eine EingangsgroBe, einem Rechner (1,1*) zum 
Umsetzen der EingangsgroBe in eine Ausgangs- 
groBe fur ein der Zusatzfunktion zugeordnetes Stell- 

50 glied (2) und mit einer Notfalleinrichtung fur eine 
NotfallmaBnahme bei Auftreten eines Fehlers. 
dadurch gekennzeichnet, daB die NotfallmaBnahme 
abhangig vom auftretenden Fehler unterschiedlich 
gewahit wird, daB eine aus den Funktionsstufen 

55 Sensor (en), Rechner und einer dem Stellglied (21 , 
Fig. 2) zugeordneten Notfalleinrichtung bestehende 
Funktionskette im Gegensatz zum nur einfach vor- 
handenen Stellglied redundant ausgebildet ist, daB 
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die gleichwirkenden Elemente der Funktionsketten 
auf gleiche Funktion uberwacht sind, daG die Not- 
falleinrichtung (Klemmeinrichtung 26, Ruckschlag- 
ventile 19 und 20) ansteuerbar ist, wenn an sich 
gleichwirkende Elemente der Funktionsketten eine s 
Abweichung um ein vorgegebenes MaG aufweisen 
und daB ferner die Notfalleinrichtung (Klemmein- 
richtung 26, Ruckschlagventile 19 und 20) dem 
Stellglied (21) nachgeschaltet ist, wobei der Rech- 
ner (12, 13) die Notfalleinrichtung bei Ausfall des ?o 
Stellglieds ansteuert. 



Claims 

15 

1. A control system for actuating elements of a motor 
vehicle, which in addition to a mechanical basic 
function carry out an additional function obtainable 
by electronic means, with at least one sensor (sen- 
sors 1 -n) for an input variable, a computer (1 , 1 *) to 20 
convert the input variable Into an output variable for 

a controlling element (2) assigned to the additional 
function and with an emergency device for an emer- 
gency measure in the event of a fault, characterised 
in that a functional chain comprising the functional ^5 
stages sensor(s), computer and an emergency 
device assigned to the controlling element (21 , Fig. 
2), is provided in a redundant form in contrast to the 
controlling element which is present only as a single 
unit, that the equivalent elements of the functional 30 
chains are monitored for the same function, that the 
emergency device (clamping device 26. stop valves 
19 and 20) can be controlled if equivalent elements 
of the functional chains deviate by a pre-defined 
degree and that the emergency device (clamping 35 
device 26, stop valves 19 and 20) is connected in 
series with the controlling element (21 ). wherein the 
computer (12, 13) controls the emergency device in 
the event of failure of the controlling element. 

40 

2. A control system according to claim 1 , characterised 
in that the output signals of the sensors delivering 
the input variables are transmitted to both comput- 
ers at the same time. 

45 

3. A control system according to claim 1 or 2, charac- 
terised in that the mode of operation of the comput- 
ers is monitored by a communication device. 

4. A control system according to any one of claims 1 so 
to 3, characterised in that further functional stages 

are provided in the functional chains and correspond 
to the functional stages of the other functional chain 
in terms of action. 

55 

5. A control system according to any one of claims 1 
to 4. characterised in that the equivalent elements 
of the two functional chains differ from one another 



in terms of their mode of operation and/or the quality 
and/or the quantity of their input or output signals. 

6. A method for performing an emergency measure 
using a control system for actuating elements of a 
motor vehicle, which In addition to a mechanical 
basic function carry out an additional function 
obtainable by electronic means, with at least one 
sensor (sensors 1 -n) for an Input variable, a compu- 
ter (1,1*) to convert the Input variable Into an output 
variable for a controlling element (2) assigned to the 
additional function and with an emergency device for 
an emergency measure in the event of a fault, char- 
acterised in that the emergency measure can be 
selected differently in dependence upon the fault 
occurring, that a functional chain comprising the 
functional stages sensor(s), computer and an emer- 
gency device assigned to the controlling element 
(21, Fig. 2), Is provided In a redundant form in con- 
trast to the controlling element which is present only 
as a single unit, that the equivalent elements of the 
functional chains are monitored for the same func- 
tion, that the emergency device (clamping device 
26, stop valves 1 9 and 20) can be controlled If equiv- 
alent elements of the functional chains deviate by a 
pre-defined degree and that the emergency device 
(clamping device 26, stop valves 19 and 20) Is con- 
nected In series with the controlling element (21), 
wherein the computer (12, 13) controls the emer- 
gency device in the event of failure of the controlling 
element. 



Revendications 

1. Systeme de commande pour des disposltlfs de 
reglage d'un vehlcule automobile qui en plus d'un 
fonctlonnement mecanique de base effectue un 
fonctionnement supplementaire qui peut etre 
obtenu avec des moyens electroniques^ avec au 
moins un detecteur (detecteur Ian) pour une gran- 
deur d'entree, avec un ordinateur (1, 1*) pour con- 
vertlr la grandeur d'entree en une grandeur de sortie 
pour un organe de reglage (2) assocle au fonctlon- 
nement additlonnel et avec un dispositif de secours 
pour une mesure d'urgence lorsque survlent un 
defaut, systeme de commande caracterlse en ce 
qu'une chaine de fonctionnement qui se compose 
des etages de fonctionnement : detecteur(s), ordi- 
nateur et un systeme de secours assocle a I'organe 
de reglage (21, figure 2) est constitute de fa9on 
redondante au contraire de I'organe de reglage qui 
existe seulement de fagon simple, en ce que les ele- 
ments qui agissent de la meme fagon, des chaines 
de fonctionnement sont controlees sur le meme 
fonctionnement, en ce que le systeme de secours 
(dispositif de connexion 26, clapets antl-retour 1 9 et 
20) peut etre commande, quand des elements agis- 
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sant en soi de la meme fagon, des chaines de tonc- 
tionnement presentent un ecart d'un niveau prede- 
fini et en ce que le systeme de secours (dispositif de 
connexion 26, clapets anti-retour 1 9 et 20) est monte 
en avalde I'organede reglage (21). I'ordinateur (12, 5 . 
1 3) commandant le systeme de secours en cas de 
defaillance de I'organe de reglage. 

2. Systeme de commande selon la revendication 1, 
caracterise en ce que les signaux de sortie des io 
detecteurs, qui delivrent les grandeurs d'entree, 
sont associes aux deux ordinateurs. 

3. Systeme de commande selon la revendication 1 ou 

2, caracterise en ce que le mode de travail des ordi- 75 
nateurs est controle au moyen d'un systeme de 
communication. 



la meme fagon des chaines de fonctionnement pre- 
sentent un ecart d'un niveau predefini et en ce qu'en 
outre le systeme de secours (dispositif de connexion 
26, clapets anti-retour 19 et 20) est monte en aval 
de I'organe de reglage (21), I'ordinateur (12, 13) 
commandant le systeme de secours en cas de 
defaillance de I'organe de reglage. 



4. Systeme de commande selon Cune des revendica- 
tions 1 a 3, caracterise en ce que dans les chaines 20 
de fonctionnement, on prevoit d'autres etages de 
fonctionnement, qui correspondent quant a leur 
action aux etages de fonctionnement des autres 
chaines respectives de fonctionnement. 

25 

5. Systeme de commande selon I'une des revendica- 
tions 1 a 4, caracterise en ce que les elements qui 
agissent de la meme fagon, des deux chaines de 
fonctionnement se differencient en ce qui concerne 
leur mode de travail et/ou la qualite et/ou la quantite 30 
de leurs signaux d'entree ou de sortie. 



6. Procede pour la mise en oeuvre d'une mesure 
d'urgence en utilisant un systeme de commande de 
dispositifs de reglage d'un vehicule automobile, qui 35 
en plus d'un fonctionnement mecanique de base 
effectuent une fonction supplementaire qui peut etre 
obtenue avec des moyens electroniques, avec au 
m"oihs un detecteur (detecteur 1 a n) pour une gran- 
deur d'entree, avec un ordinateur (1, 1*) pour con- 40 
vertir la grandeur d'entree en une grandeur de sortie 
pour un organe de reglage (2) associe a la fonction 
supplementaire et avec un systeme de secours pour 
une mesure d'urgence quand survient un defaut, 
caracterise en ce que Ton choisit differemment la 45 
mesure d'urgence en fonction du defaut qui survient, 
en ce qu'une chaine de fonctionnement se compo- 
sant des etages de fonctionnement constitues par 
le detecteur ou les detecteurs, les ordinateurs et un 
systeme de secours associe a I'organe de reglage so 
(21 , figure 2) est constituee de fagon redondante au 
contraire d'un organe de reglage qui existe seule- 
ment de fagon simple, en ce que les elements qui 
agissent de la meme fagon des chaines de fonction- 
nement sont controles sur le meme fonctionnement, ss 
en ce que le systeme de secours (dispositif de con- 
nexion 26, clapets anti-retour 19 et 20) peut etre 
commande quand des elements agissant en soi de 
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